Avast Blog
 
 
 

Антивирусная компания Avast обнаружила вредоносное ПО под названием Cosiloon в прошивке более чем 140 моделей Android-устройств. Сообщение об этом было опубликовано на сайте компании.

Как поясняет SecurityLab, речь идет о вредоносе, который был обнаружен еще в конце 2016 года. Тогда о нем сообщили специалисты компании Dr.Web, по данным которых злоумышленники внедрили вирус в прошивку по меньшей мере 26 недорогих смартфонов и планшетов на Android.

Спустя полтора года хакеры, создавшие Cosiloon, смогли заметно расширить список устройств, в прошивку которых внедрен их вирус. При этом функционал вредоноса не претерпел особых изменений: Cosiloon запускается из папки "/system" с правами суперпользователя, а основной задачей программы является подключение к удаленному серверу, загрузка XML-файла и установка одного или нескольких приложений, указанных в данном файле. Благодаря тому, что вирус является компонентом прошивки устройства, он может без ведома пользователя установить на смартфон или планшет любое приложение. При этом почти всегда речь идет о приложениях, которые показывают рекламу поверх других программ или интерфейса Android, что приносит злоумышленниках доход.

В Avast также отметили, что Cosiloon не загружает дополнительные приложения, если на устройстве установлен китайский язык, IP-адрес устройства принадлежит китайскому диапазону IP, а число локально установленных приложений не превышает двух.

Согласно списку зараженных гаджетов, в зоне риска находятся владельцы 141 модели Android-устройств, произведенных компаниями Alps, Archos, Digma, Elink, Irbis, Prestigio, ZTE и рядом других. При этом зараженные устройства были обнаружены более чем в 90 странах, а единственной общей характеристикой для них является использование чипсетов Mediatek.

В процессе работы специалистам Avast удалось временно отключить С&C-сервер хакеров, однако регистратор доменных имен не аннулировал используемый группировкой домен, и злоумышленники просто воспользовались услугами другого хостинг-провайдера.